用于数据处理的数据处理网络的制作方法

背景技术：

1、用于驾驶员辅助或者自动化驾驶的系统由许多单个的软件单元组成，所述软件单元通常在数据流方面可以借助图(graphen)来描述。所述软件单元(通常也被称为可运行线程、节点或者数据处理组件)的特征在于，处理输入数据的集合并且由此产生输出数据的集合。

2、在先前提到的系统中，在由数据处理组件组成的图中对传感器的输入数据进行处理，该图在静态视图中将数据流可视化，所述传感器例如是雷达或者视频。

3、不同的软件单元通常形成复杂的数据处理网络，借助该数据处理网络来处理传感器数据，以便基于所述传感器数据执行行动。这样的行动可以是例如在车辆的自主行驶运行的框架中的控制任务。在数据处理网络中的数据处理通常包括多个基于彼此(aufeinander aufbauend)的数据处理步骤或者数据处理任务，所述数据处理步骤或者数据处理任务借助数据处理组件来实施。

4、作为对驾驶员辅助系统和(高度)自动化行驶(had)的功能安全性的要求的一部分，系统性的和零星发生的硬件故障的概率不得大于预给定的频率，该频率与风险和系统功能的预期损坏有关。由于新开发的驾驶员辅助系统通常在大量车辆中彼此并行地使用，并且风险能够在整个相应配备的车队方面评估，因此，出现硬件故障的可接受的概率是特别低。

5、与如今的高端处理器相比，常见的、可用的、符合该安全级别的微控制器的计算性能是非常有限。所述微控制器的最大节拍为大约10％(300mhz对3ghz)，并且缺少内部的优化器，所述优化器在现成的微处理器(μp)中是标准并且对其性能起着重要作用。

6、就此而言，由于在此类应用中被处理的极大数据量，一个大问题是找出程序代码中的错误(调试)，有时付出巨大的努力以再现这种软件的确定的非期望的行为用于开发目的。这种软件运行用于在例如执行测试运行的车辆中的测试。在此，例如由摄像机传感器检测大量的数据并在数据处理网络中对其进行处理。在通常的方案中，这些数据对于在后期地重新执行测试以再现对应的有错误的行为方式而言根本不再以相同的形式可供使用。

7、由此出发，应描述一种用于构造用于机动车的数据处理网络的新型方案，该方案处理(adressieren)用于这种类型的安全级别的常见的可用的微控制器的有限的计算性能的解决方案。

技术实现思路

1、在此描述一种数据处理网络，该数据处理网络用于冗余地且以经验证的方式执行多个彼此相继的数据处理步骤，所述数据处理步骤分别用于由输入数据生成输出数据，其中，第一数据处理步骤的输出数据至少部分地同时是另外的数据处理步骤的输入数据，其中，为了执行每个数据处理步骤，设置有至少一个第一数据处理模块，其中，该数据处理网络此外具有比较器模块，其中，第一数据处理模块设置用于，向比较器模块传送各个数据处理步骤的控制参数，并且比较器模块设置用于，提供经同步的控制参数，该控制参数包含关于所执行的至少一个数据处理步骤的控制信息，其中，该数据处理网络具有记录模块，在该记录模块中可激活调试模式，借助该调试模式记录调试数据，所述调试数据包含关于借助数据处理网络的数据处理步骤的每个实施的信息。

2、特别优选的是，对于至少一个第一数据处理模块，数据处理网络具有第二数据处理模块，该第二数据处理模块设置用于实施与所配属的第一数据处理模块相同的数据处理步骤，并且将控制参数传送到比较器模块，其中，经同步的控制参数通过由第一数据处理模块和第二数据处理模块已传送的彼此相应的控制参数的至少一个比较产生。

3、在此描述的数据处理网络的特点是记录模块，该记录模块永久地记录调试数据，所述调试数据包含关于数据处理步骤的每个实施的信息。根据这些调试数据可以在后期实现在数据处理网络中和/或在测试环境中的对应的数据处理步骤的重现(replay)。

4、在所描述的具有第一数据处理模块和第二数据处理模块的数据处理网络中能够实现，实现基于硬件的软件锁步，该硬件本身不满足相应的要求(例如asil-d相符性)。这尤其对于如下数据处理网络是成功的：所述数据处理网络的数据处理要求高计算性能，对于所述高计算性能，通常要求具有非常高性能能力的硬件。

5、基本方案是，为第一数据处理模块和第二数据处理模块分别使用彼此分开的硬件(彼此分开的核)，所述硬件具有高计算性能并且均执行相同的计算。通过比较器模块进行所述计算的比较，并且仅在计算结果相同的情况下，才将该计算结果用于数据处理网络中的另外的数据处理。根据控制参数由数据处理模块监控该相同性，为了控制数据处理的控制流，在数据处理网络中使用经同步的控制参数。

6、通常也将如下点称为同步点：在所述点处，第一数据处理模块和第二数据处理模块提供控制参数，以便然后将这些控制参数转发给比较器模块。

7、如已经解释过的那样，在此描述的方法涉及所谓的软件锁步。软件锁步应与硬件锁步区分开。对于硬件锁步，要求明显更复杂的硬件。

8、在此不要求的硬件锁步通常如此实现：使用硬件，该硬件将在该硬件上运行的软件程序的每个计算步骤实施两次。这意味着，软件程序本身在硬件上仅运行一次。运行系统仅看到对应的软件程序的一个实例。硬件在一个运行系统层面下方将软件的每个步骤实施两次。

9、与此相反，在此描述的软件锁步意味着，程序被执行两次，更确切地说在运行系统层面上执行两次。必要时，也可以运行两个彼此独立的运行系统(在具有第一硬件/核的第一数据处理模块上的第一运行系统和在具有第二硬件/核的第二数据处理模块上的第二运行系统)，所述运行系统将对应的数据处理步骤分别实施(并且因此实施两次)。

10、软件锁步也可以在运行系统上运行，其中，则必要时在运行系统的层面上给出如下指示：针对两次实施使用不同的硬件(两个不同的核)。

11、只要有两个实例，所述实例在没有硬件改变的情况下可复制/增多，“实施两次”就指的是所谓的软件锁步。硬件锁步总是意味着，为了附加的冗余的实施，附加的硬件(电路、晶体管等)也必须是必要的，所述附加的硬件位于运行系统层面的下方，所述附加的硬件对于运行系统而言不能够被识别为彼此分开，而是从运行系统的角度看像是硬件。即，通过使用硬件锁步，总是需要至少两倍数量的晶体管，以便实现与在不具有硬件锁步的情况下相同的性能。

12、通过所描述的数据处理网络或者说借助所描述的数据处理网络，锁步方案在并非专门为此开发的控制器/处理器上也能够实现。

13、然而，正常情况是，借助相同的软件来实施第一数据处理模块和第二数据处理模块，并且也就其规格而言使用相同的硬件(相同的核)。如果对应的数据处理模块或作为基础的硬件正确地工作，则相同的输入数据在两个数据处理模块中也制造相同的输出数据。

14、如果将软件锁步用于(接近)实时应用，则许多已知的架构基于时间片段网格(zeitscheibenrastern)，在所述时间片段网格中，对计算步骤的处理在任何情况下都不得超过预给定的框架。就此而言，通常谈及所谓的wcet(wcet＝worst case execution time，最坏执行时间)。在此，先验地规定，在时间片段中以怎样的顺序实施哪些计算步骤。由于计算步骤预先已知，所以所使用的两个单元可以并行地实施计算步骤。通常，存在下述高易变性：用于处理输入数据以产生输出数据的计算开销有多大。一个示例是用于求取所有可见的交通标志的图像分析的情况。例如，如果一百个交通指示牌同时可见，则用于执行这样的分析的数据处理步骤所需要的时间比在仅两个交通指示牌位于可视区域中的情况下长得非常多。在常见的软件锁步方案中，时间片段必须根据wcet如此设计，使得对于所有可考虑的相关的情况，无论如何都设置有足够的时间以执行数据处理步骤。

15、与此相反，数据驱动的系统更灵活，但是，在所述数据驱动的系统中，实施顺序可能与在先的计算的结果和持续时间有关。计算步骤的顺序则不再是先验地已知的。对于sw锁步，该特性意味着，可能的分支点总是也必须是同步点。在并行使用计算单元的情况下，在此总是必须，在下一步骤可靠地被确定并且可以被实施之前，计算步骤的结果才得到验证。

16、因此，对于数据驱动的架构而言，可能更高效的是，不并行地进行计算，而是可以使一个计算单元(在没有同步的情况下预先)运行，并且——在预给定相同的实施顺序的情况下——在其他单元上复算并且证实所实现的结果。即，在这种情况下，具有主级模块，该主级模块预给定在下游的次级模块上的计算。

17、如今的能够硬件锁步的微控制器不满足对计算性能的要求，所述要求是高度自动化的行驶所需要的；同时，当前的高性能处理器不满足所要求的asil-d安全性分级。

18、为了尽管如此仍获取用于高度自动化的行驶的计算系统，需要找出一种以相应的方式保护快速但不安全的处理器的途径。为此，在此提出，使用软件锁步。

19、对此进行尝试的最简单的方式是，在相应的微处理器上实现软件锁步。但这不仅将其计算性能(至少)减半，而且将具有两个严重问题：一方面、当在相同的硬件上进行冗余的计算时不能够排除系统性故障，另一方面、用于比较输出数据/计算结果的必要的比较器同样会在不安全的硬件上运行，因此不能够充分信任结果。

20、为了解决该问题，在此提出，基于至少两个模块和比较器单元(比较器模块)实施软件锁步，所述模块具有彼此分开的硬件，其中，比较器单元/比较器模块在附加的符合asil-d的硬件上运行。

21、由于在上文更前处描述的方案中在考虑wcet的情况下必须保持最大需要的计算时间，但是该最大需要的计算时间典型地仅在例外情况下需要，因此，在大多数步骤中，时间“剩余”，所述时间在系统的处理链上累加成不可接受的时延并且导致硬件的较差的充分利用(auslastung)。即，在具有先验地规定的实施顺序的并行的软件锁步并且使用wcet的情况下的危险是，不能够达到或低于在整个系统中的所要求的最大时延。

22、借助数据驱动的架构能够实现明显更好的利用，如该数据驱动的架构在上文更前处例如可以借助主级模块和进行复算的次级模块构造的那样。在这样的架构中，即兴地(adhoc)实施相应下一数据处理步骤，其中，准确的流程不必是先验地已知，并且因此存在高灵活性。

23、然而，这样的架构尤其对于在此描述的汽车应用而言具有缺点，所述缺点应在下文中简短阐述：

24、由主级模块预给定实施顺序。从属的次级模块在一定程度上“盲目地”复算。因此，实施的顺序——如果有的话——仅能够根据不变量或一般规则来检验。由此，对于控制流产生与相应的所使用的各个硬件相同的安全性分级。借助这样的架构不能够实现高的asil-d级别。换言之：虽然事后可以通过借助次级模块进行的复算来确定，在主级模块中的计算可能是有错误，然而到那时已过晚，因为先前已需要计算的结果。

25、计算的比较可以总是在冗余的计算步骤和接下来的结果通信结束之后才发生。由原理决定地，直到发现计算时的错误为止的时间已加倍。由此导致增加的错误时延，可能还导致在常规运行中不必要的时延。

26、即，已知的具有主级模块和(一个或者多个)次级模块的锁步的方案虽然允许更灵活的并且数据驱动的实施，但是也具有增加的时延的问题。

27、所提出的数据处理网络和借助其实施的数据处理方法能够为高度自主的行驶实现足够的性能。所提出的数据处理网络能够实现组合式的时间驱动的以及数据驱动的架构。即，与具有先验地规定的实施顺序的方案相比，在软件锁步中的灵活的实施顺序是可能的。

28、为此，选择并行执行的、但是不基于时间片段的软件锁步方案，该软件锁步方案在作为计算单元的至少两个微处理器(第一数据处理模块和第二数据处理模块)和控制组件上实现，该控制组件在附加的、值得信任的硬件(比较器模块)上运行。相应于安全目标标准的该控制单元将计算单元上的流程同步，并且比较其结果。

29、与主级/次级模块锁步相比，(准)同时地处理冗余的计算步骤，因此不产生级联并且因此产生更好的时延特性(参见图3)。

30、替代于将完整的数据分组发送至比较器，在此描述的数据处理网络中也可能的是，仅将数据(分组)的横向总和(quersummen)作为控制参数从数据处理模块传输至比较器模块，这必要时可以明显减少通信开销。

31、通过这些优化和混合的、即数据驱动和时间驱动的运行，实现硬件的良好且高效的充分利用。

32、从安全架构的角度看，所描述的数据处理网络的构造相应于对安全关键的任务的分解。对于各个计算单元，由此产生降低的asil要求，使得借助如今存在的高性能处理器已经能够实现整个系统的asil-d分级。

33、为了可以将所描述的数据处理网络用于实施软件，存在下述前提：

34、-所有数据控制事件和所有相关的控制事件映射到时间轴或者与此等效的结构上，例如事件队列。时间轴也可以被称为“通用逻辑时间线(common logical timeline)”。

35、-通过控制事件开始的每个计算步骤是数据确定性的(daten-deterministisch)。即，在相同的开始状态下，相同的输入数据也总是导致相同的输出数据。

36、特别有利的是，控制参数的比较包括一致性检查，并且经同步的控制参数以来自第一数据处理模块和第二数据处理模块的控制参数的一致性为前提。

37、此外有利的是，数据处理网络设置用于，使用由比较器模块提供的经同步的控制参数，以便控制借助数据处理网络的另外的数据处理步骤进行的对输出数据的另外的数据处理。

38、除此之外有利的是，经同步的控制参数是有效性参数该有效性参数包含关于所执行的至少一个数据处理步骤的有效性信息。

39、此外有利的是，数据处理网络具有至少一个序列化模块，所述序列化模块分别设置用于，对来自数据处理模块和/或数据处理步骤的控制参数进行整理分类(sortieren)和同步并且然后以具有整理分类的方式向比较器模块转发所述控制参数，以便比较器模块能够与如下顺序无关地求取经同步的控制参数：数据处理模块已以该顺序实施数据处理步骤。

40、序列化模块尤其用于回溯，在各个数据处理模块中并且尤其在相应供使用的硬件上以怎样的顺序完成数据处理步骤。以这种方式，可以确定用于执行另外的数据处理任务的硬件的可用性。序列化模块分别配属于数据处理模块，并且将控制参数传送到比较器模块或如下(第三)硬件组件：该比较器模块在该(第三)硬件组件上运行。

41、附加地，优选存在同步器，该同步器将两个数据处理模块的分别属于彼此的(只要不出现错误就恰好彼此相应的)控制参数相互同步，并且可能形成控制参数元组，该控制参数元组被提供给比较器模块。同步器和比较器模块优选共同形成中央单元，该中央单元在(第三)硬件组件上运行。通过同步器实现在数据处理步骤的实施顺序方面的灵活性。对应的数据处理模块的硬件可以(当该硬件完成一个数据处理步骤的执行时)也用于执行另外的数据处理步骤。

42、由于在第一数据处理模块和第二数据处理模块上执行相同的数据处理步骤，在成功运行的情况下，在每个数据处理模块上产生与在另一个数据处理模块上相同的控制结果和数据结果，但是由于在所述单元上的并行处理可以以不同的顺序生成。

43、中央单元(由比较器模块和同步器组成)现在缓存事件(控制参数)，直至匹配的事件(相应的控制参数)从所有数据处理模块到达。然后，可以比较相关联的控制参数，并且在相同的情况下对其进行分析处理，或可以输出经同步的控制参数。

44、优选的是，附加存在任务配属模块，该任务配属模块随后则在存在来自硬件模块的经同步的控制参数的情况下规划并且委托在对应的硬件上各个(接下来的)数据处理步骤的开始，使得能够实现硬件的特别好的充分利用。

45、任务配属模块优选向各个数据处理模块发送(absetzen)一种刺激，以便激活所述数据处理模块。通过使用中央单元或第三硬件组件和比较器模块，虽然出现在两个数据处理任务的执行之间的时延的少量提高。然而总体而言，时延的该提高是可接受的，尤其是与常见的主级/次级模块架构相比。

46、对于中央单元或同步器和序列化模块和比较器模块不能够确定所接收的控制参数/事件的明确唯一的顺序的情况，则可以确定故障情况。视应用情况而定地，这可能导致重新复算或者借助数据处理网络进行的数据处理的中断。

47、刺激由中央单元以一定的方式找出。每当由比较器模块通过比较控制参数求取出正确的计算结果并且可以计算经同步的控制参数时，在一定程度上找到刺激，该刺激触发另外的数据处理，该另外的数据处理需要借助相应的第一数据处理模块和相应的第二数据处理模块所计算的输出数据作为输入数据。为了找到用于实施另外的计算步骤的可能的刺激，中央单元不仅分析处理所有所获取的数据事件(控制参数)，而且还分析处理如下事件：所述事件代表先前的计算步骤的结束(“结束样本(endsamples”或分布样本(distributesamples)”)。此外，可以生成时间事件作为用于时间驱动的实施的刺激。

48、中央单元在一定程度上管理数据处理的在上文更前处已经描述的时间轴(通用逻辑时间线(common logical timeline))。

49、因此，在成功情况下，在所有计算单元上产生结果相同的运行，以数据驱动及时间驱动的方式，尽管在局部的实施顺序方面存在可能的区别。

50、特别优选的是，记录模块连接到比较器模块，并且设置用于记录在比较器模块中出现的控制参数。

51、比较器模块和在比较器模块中出现的控制参数(尤其是经同步的控制参数，必要时但也是由数据处理模块传送的控制参数)形成对于记录模块记录调试数据而言尤其良好的参考点(anhaltspunkt)。通过这些控制参数已经可以产生待记录的调试数据的基本结构。控制参数形成一种类型的数据基本框架(datengrundgerüst)，针对调试数据，可以将如下另外的数据馈入到该框架中：所述数据用于对应的数据处理步骤在调试系统中的实施(重现)。

52、除了比较器模块，优选的是，数据处理网络的所有数据处理模块也连接到记录模块。比较器模块本身通常不获取实际经处理的数据，而是仅获取信息“哪些数据何时进入到模块中”。所述数据，而是仅仅是控制参数。为了记录在数据处理模块中实际经处理的数据，在数据处理模块与记录模块之间优选也还存在数据连接。

53、此外优选的是，记录模块设置用于，在激活调试模式的情况下记录至少一个第一数据处理模块的和/或至少一个第二数据处理模块的状态。

54、这种状态尤其是包括配属于对应的数据处理模块的存储区域的内部的存储状态。这种状态有时已经包括必须在此被存储的巨大的数据量。必要时，对此类状态的存储要求更长的持续时间，因为描述状态的数据的数据传输太大。然后可能的是，状态的存储仍进行，而进一步的数据处理步骤已结束。优选的是，记录模块表明一种对于此适合的技术。

55、状态通常必须由每个数据处理模块来记录。这通常是必要的，以便使数据处理网络的整体状态对于调试可供使用。

56、优选的是，规律性地重复进行数据处理模块的(内部的)状态的记录。虽然在开始时记录一次状态，对于起动调试系统的运行就是足够的。尽管如此有帮助的是，(只要有足够的带宽可供使用)在运行期间还记录另外的状态(所谓的关键帧)。因此，调试系统不必总是从借助记录模块的记录开始时就起动，而是可以在每个关键帧时起动。

57、此外优选的是，记录模块设置用于，在激活调试模式的情况下记录数据处理网络的每个数据处理步骤的初始的输入数据。

58、数据处理网络优选包括多个彼此关联的(aufeinander aufsetzenden)、从传感器数据直至数据处理网络的(最终的)输出数据的数据处理的数据处理步骤。在该系统中，每个数据处理步骤或者说每个数据处理模块具有输入数据。优选的是，记录模块如此实施，使得针对每个单个的重复地进行的数据处理步骤记录至少一次输入数据(在调试模式激活的状态下)作为初始的输入数，使得能够在调试系统中以这些输入数据合成整个数据处理网络的开始状态。

59、此外优选的是，记录模块这样设置为，在调试模式被激活期间永久地进行对每个数据处理步骤的输入数据的记录。

60、尤其是当用于数据的记录的可用带宽允许的情况下永久地记录每个单个的数据处理步骤测试的输入数据。尤其优选的是，存在动态模式，该动态模式总是当从可用带宽角度可以实现时执行在调试模式激活期间记录输入数据，而不出现对整个系统的损害。

61、此外优选的是，数据处理步骤配属有优先级参数，并且关于数据处理步骤的每个实施的信息的记录相应于该优先级参数进行。

62、视用于记录数据的可用带宽而定，可以直至调试模式中被记录的数据来匹配优先级阈。如果大带宽可供使用，则在调试模式中相比于以下情况记录更多的数据：可供使用的带宽受限并且在调试模式中仅记录最小化所需的数据，所述数据对于调试系统中的数据处理网络的状态的合成被需要。

63、以下数据处理网络尤其是优选的：在调试模式中可激活制动模式，借助该制动模式能够确保进行关于数据处理步骤的每个实施的信息的完整记录。

64、通常情况下，在数据处理网络的运行中已经存在用于执行对于数据处理所需的数据处理步骤的可用计算容量和带宽的缺乏。出于该原因，具有记录模块运行和调试数据记录的、调试模式的实施是关键的过程，对于该过程必要时必须提供容量以记录数据。这可以通过所描述的制动模式来实现。在这种模式中，这样低地向下调节数据处理网络的运行，使得无论如何都可以实现在调试模式中对所需信息的完整的记录。

65、特别有利的是，在制动模式中确保，将第一层面上的所有输入数据(尤其是传感器数据)完整地记录到系统中，并且将在系统的内部由模块生成的数据仅根据优先级和可用的带宽完整地记录到系统中，使得仅当在系统边界处的输入数据(尤其是传感器数据以及还有用于起动系统的数据、如在系统的起动时每个模块的状态和输入数据)不能被完整地记录时，才制动系统。模块的也可在调试系统中被合成的输入数据和在记录期间产生的状态(关键帧)优选仅当下述情况下被记录：当这在没有数据处理网络的制动的情况下低于确定的边界可以实现时。

66、有利的是，借助第一硬件组件实现第一数据处理模块，借助第二硬件组件实现第二数据处理模块，其中，第一硬件组件和第二硬件组件在物理上彼此分开。

67、还有利的是，所述数据处理模块中的至少一个数据处理模块具有不符合asil-d的硬件组件。

68、特别有利的是，数据处理模块的两个硬件组件不符合asil-d。

69、此外有利的是，借助第三硬件组件实现比较器模块，该第三硬件组件在物理上与第一硬件组件和第二硬件组件分开。

70、就此而言有利的是，第三硬件组件符合asil-d。

71、还有利的是，比较器模块具有数据存储器，所求取的控制参数连同时间信息保存在所述数据存储器中，使得产生逻辑时间轴，该逻辑时间轴映射借助数据处理网络的数据处理模块进行的数据处理步骤的处理的顺序，其中，该记录模块设置用于以所执行的数据处理步骤的流程图记录所述逻辑时间轴。

72、对于在逻辑时间轴上的记录有帮助的尤其是借助控制参数形成的数据基本结构。在控制参数中优选还包含各个实施的时间信息(各个数据处理步骤借助数据处理模块的实施的开始时间点和结束时间点)。借助于这些时间信息优选可以使借助记录模块记录的全部数据处理步骤、包含分别经处理的数据映射在逻辑时间轴上。

73、就此而言也有利的是，数据处理模块的硬件组件与比较器模块的硬件组件相比明显功率更强。比较器模块的第三硬件组件与数据处理模块的(第一和第二)硬件组件之间的可能的功率区别取决于数据处理网络的相应的应用情况。例如，常见的是，第一和第二硬件组件的处理器节拍是第三硬件组件的处理器节拍的至少5倍、必要时甚至10倍。

74、为了使数据处理模块与中央单元(比较器模块和必要时序列化模块和任务配属模块)之间的通信路径减轻负担，对于作为输出数据的大的数据量，必要时可以将控制参数计算为其横向总和(quersumme，crc)，并且将仅所述横向总和连同明确唯一的分组标识符(又名元样本(meta-sample))一起作为控制参数发送给比较器模块。数据处理步骤的输出数据作为输入数据到下一数据处理步骤的真正的流动，可以在第一硬件组件和第二硬件组件(并且必要时也还在另外的硬件组件上)彼此独立地或彼此并行地发生，其中，在不同的硬件组件之间必要时存在数据传输接口，所述数据传输接口也是与中央单元或比较器模块无关的。然后，中央单元或比较器模块不检验原始数据，而是例如检验所述原始数据的横向总和，这导致对原始内容的逐比特的比较。在此应注意，第一硬件组件和第二硬件组件必须缓存原始的数据分组直到所述数据分组由比较器进行确认并且可以被交付。

75、由于在此提出的对作为用于递送给比较器模块的控制参数的横向总和的计算也是不可忽略的资源消耗，因此也可能的是，视输出数据的数据量而定地判断，是直接比较输出数据，还是比较输出数据的横向总和。

76、特别有利的是，控制参数的比较包括检查：是否在数据处理时在第一数据处理模块中和/或在第二数据处理模块中出现的错误小于公差极限，并且在这种情况下产生经同步的控制参数。这尤其意味着，在这样的情况下，必要时产生经同步的控制参数，虽然出现错误，但是该错误小于公差极限。

77、在此还将描述一种用于运行所描述的数据处理网络的方法，该方法至少具有下述步骤：

78、a)借助第一数据处理模块执行数据处理步骤并且产生第一控制参数，所述第一控制参数适合用于检查借助所述第一数据处理模块对数据处理步骤的执行；

79、b)与步骤a)无关地，借助第二数据处理模块执行相同的数据处理步骤并且产生第二控制参数，该第二控制参数适合用于检查借助所述第二数据处理模块对数据处理步骤的执行；

80、c)借助比较器模块执行相应的控制参数的比较，所述控制参数是由所述第一数据处理模块和所述第二数据处理模块传送的，并且基于所述比较，提供至少一个经同步的控制参数，所述经同步的控制参数包含关于所执行的至少一个数据处理步骤的控制信息。

81、在此还应描述一种用于检查数据处理的调试系统，该数据处理借助描述的数据处理网络进行，该调试系统具有用于执行在数据处理网络中也相应地被实施的数据处理步骤的调试数据处理模块，具有用于引入数据处理的引入模块，所述调试数据借助数据处理网络的记录模块被记录，并且具有用于开始借助调试系统的数据处理的装置。

82、调试系统是如下系统：该系统使得能够实现跟踪在上文更前处描述的数据处理网络中执行的数据处理步骤，其中，为此优选使用相同的程序代码，并且优选(必要时仅直至一定的层面)使用该程序代码的相同的编译。限制“直至一定的层面”意味着，在低的接近硬件的层中，可能存在数据处理步骤在所使用的硬件上的实施与在调试系统中的实施的不同。但优选(只要可能)确保，这些层面上的不同不导致在借助于调试系统识别错误时的问题。

83、尤其优选的是，在调试系统中存在同样方式的具有用于执行数据处理步骤的数据处理模块和用于管理控制参数的比较器模块的构造。通常，在调试系统中不存在具有两个并行地进行计算的数据处理模块的构造以冗余地实施数据处理步骤。这尤其是不被设置在调试系统中，因为在调试系统中，测试或者说检验在数据处理网络中数据处理步骤的实施是关键。在此通常不要求高的错误安全性(高asil-d级别)。

84、特别有利的是，调试系统这样设置为，使得在开始借助调试系统的数据处理时，将至少一个第一数据处理模块的和/或至少一个第二数据处理模块的初始的输入数据和状态引入到调试数据处理模块中。

85、优选地，可以借助到数据处理模块中或者说用于数据处理步骤的初始输入数据以及涉及数据处理模块的内部状态的数据使调试系统在起动时间点时进入如下状况中：在该状况中，该调试系统从此准确地像数据处理网络工作那样工作。对于在起动时间点之后的后续的工作，则通常仅还要求已被记录的到数据处理网络中的第一输入数据。例如，这是来自车辆的传感器的传感器数据，这些传感器数据在车辆的行驶运行期间被永久地记录。然后在借助调试系统的数据处理中，连续地制造新输入数据用于下游的数据处理模块。这通过在调试系统中制造来自数据处理模块或者说数据处理步骤的输出数据进行。这些输出数据通常形成用于后续的数据处理模块的输入数据。这种借助调试系统产生的输入数据被称为合成的输入数据。

86、此外优选的是，调试系统这样设置为，使得在借助调试系统的数据处理期间，进行以借助该调试系统的数据处理产生的合成的输入数据和由记录模块在调试模式中永久地记录的输入数据的调试比较。

87、以这种类型和方式，能够进一步改善数据处理中的错误的搜索。